RSA移动安全面面观

安天实验室.AntiyLabs

Tom:Pan

tompanpan@gmail.com

提纲

从RSA展会的角度

从趋势数据的角度

从企业发展的角度

从安全需求的角度

思考和总结

从过去几年RSA展会的角度看移动安全阵营RSA展会的角度

RSA 2011

RSA 2012

RSA 2013

RSA 2014

RSA 2011～2014

mobile mobile

BYODmobilemobile

InvinceaVirtualization and Cloud Security

AppthorityMobile Security Service

RemotiumMobile Security Application

RedowlData analysis

我们再从数据的角度，看看过去几年的移动安全形势

趋势数据的角度

2010~2013年恶意代码变迁

2011/1 2011/2 2011/3 2011/4 2011/5 2011/6 2011/7 2011/8 2011/9 2011/10 2011/11 2011/12 2011/12

2011年新家族分布图

国内

北美

2012/1 2012/2 2012/3 2012/4 2012/5 2012/6 2012/7 2012/8 2012/9 2012/10 2012/11 2012/12

2012年新家族分布图

国内

北美

欧洲

2013/1 2013/2 2013/3 2013/4 2013/5 2013/6 2013/7 2013/8 2013/9 2013/10 2013/11 2013/12

2013年新家族分布图

国内

北美

欧洲

日韩

2010/1 2010/2 2010/3 2010/4 2010/5 2010/6 2010/7 2010/8 2010/9 2010/10 2010/11 2010/12

2010年新家族分布图

国内

北美

2010~2013年恶意代码变迁

2011/1 2011/2 2011/3 2011/4

2012/1 2012/2 2012/3 2012/4

2013/1 2013/2 2013/3 2013/4

2014/1 2014/2 2014/3 2014/4

2014年Q1新家族分布图

国内

北美

欧洲

日韩

2010~2013年恶意代码技术脉络

geinimi2010• adrd

• Droiddream

• kungfu2011

• FakeInst

• Smishing

• Ssucl2012

•Obada

•Chuli(APT)

• Syrup

•Masterkey

2013

原创恶意技术

原创恶意技术

原创恶意技术

原创恶意技术

原创恶意技术

漏洞利用（30day）

原创恶意技术

漏洞利用（0day）

漏洞利用（20day）

技术利用（360day）

技术利用（APT）

从国内外企业发展的角度看移动安全的发展企业发展的角度

RSA 2012～2014

RSA 2012

• 个人

• AhnLab

• 企业

• AirWatch

• BluePoint

• ForeScout

• Pindrop

• 开发者

• Arxan

• 创新沙盒获奖

• Appthority

• 较多移动相关

RSA 2013

• 个人

• 较多，超过5家

• 企业

• AirWatch

• Bluepoint

• Damballa

• FireEye

• MobileIron

• Mocana

• Zenprise

• Pindrop

• 开发者

• Arxan

• 创新沙盒获奖

• Remotium安全应用

• 较多移动相关

RSA 2014

• 个人

• 太多，超过10家

• 企业

• Appthority

• Mocana

• MobileIron

• Bluebox

• Veracode

• FireEye

• 开发者

• Arxan

• 创新沙盒获奖

• RedOwl

RSA 公司盘点

• Remotium

Application

• Lookout，Bluepoint

Antivirus&Protection

• AirWatch，MobileIron，Mocana，Zenprise

BYOD/MDM

• Appthority，PinDrop，Veracode

Service

• PANW,FireEye,……Solution

海外移动安全团队 Lookout

• 2009年开始，持续占据北美和海外个人安全软件头名

• 超过100人工程师团队

FireEye

• 2012开始围绕Dawn Song进行移动安全团队组建，目前吸引了包含多名华人学者的超过40人的工程师团队

• 2012年发布了基于污点追踪的Android动态分析沙箱产品原型

Palo Alto Network

• 2012年在WildFire中加入对移动的支持，并在APP-ID上加入对部分移动的支持

• 2012开始和MobileIron，Citrix合作

Bluebox

• 1篇博客的力量，宣布发现MasterKey漏洞，声名大噪

• 发布企业移动安全解决方案

蒋旭宪老师研究团队

• 2011，2012多次首发多个Android恶意代码家族和漏洞

Start-up&Other

• Appthority

• Veracode

• Trustlook，VisualThreat

• Zimperium，lacoon

Lookout的可视化分析

Lookout的可视化分析

Lookout的可视化分析

MobileIron的技术特点

统一平台

SDK支持

Mocana的技术特点

控制通路

透明便利

Bluebox的安全Context Container技术

Bluebox的安全Context Container技术

FireEye&PANW

WildFireMobileThreatPrevention

Start-up/Other

应用安全风险管理 Mobile APT Analysis Service

Audit Service Mobile IPS Behavior-ed Based

安全需求和技术在中国和海外差异巨大安全需求和技术的角度

移动安全的挑战

27

MSC/GMSCBTS

BSC

NODE BRNC GGSNSGSN Firewall

4G 3G EDGE SMS Voice

USB Wi-FiNFC Bluetooth

GPRS

SD card

Enterprise

Network

App Market

Site

App Data

Server

Your

Network

App C&C

Server

Your Firewall

Game AppSNS AppMalware

PUA

UpdatePayload

MaliciousPayload

Heartbeat

Privacy LeakC&C orders

NormalDevice

InfectedDevice

Or Or Or Or

海外和国内的需求差异

海外市场 国内市场

• 个人安全是最大的市场和竞争，安全全面走向范安全化

• 企业级安全的市场需求短期还是在观望

• 安全需求和产品覆盖面和模式丰富

• 技术创新丰富，高效，但商业成熟度还需要时间

• 企业级安全为最大市场和需求

• 个人安全主要被传统PC安全厂商重新划分

• 技术创新一般，但商业思路成熟

海外和国内的技术需求差异

海外需求 国内需求

• 越狱提权• ROM和碎片化• 行业策略和企

业治理，版权保护

• 应用分发渠道发达

• iPhone成为刚需求

• Google/Android在持续更新，并调整安全策略

移动安全挑战

海外需求 国内需求海外市场 国内市场

APT

PC技术

高对抗

泛化

重新思考重新构建

新生

移动安全新生进行中

tompan@antiy.cn

Tom:Pan AntiyLabs Mobile Team